Amazonは、コンテナを実行および効率的に管理するための特殊なディストリビューションであるBottlerocketの最終リリースを発表しました。 ボトルロケット（ちなみに、これは小さな自家製の黒粉ロケットの名前です）はコンテナ用の最初のOSではありませんが、AWSサービスとのデフォルトの統合のおかげで普及する可能性があります。システムはAmazonのクラウドに重点を置いていますが、オープンソースを使用すると、ローカルのサーバー、Raspberry Pi、競合するクラウド、さらにはコンテナのない環境など、どこにでも構築できます。 これは、RedHatが埋め込んだCoreOSディストリビューションの非常に価値のある代替品です。











一般に、Amazon WebServicesにはすでにAmazonLinuxがあります。これは最近2番目のバージョンでリリースされました。これはDockerコンテナで、またはLinux KVMハイパーバイザー、Microsoft Hyper-V、VMwareESXiで実行できる汎用ディストリビューションです。 AWSクラウドで実行するように最適化されていますが、Bottlerocketを使用すると、より安全で最新の、より少ないリソースを使用する新しいシステムにアップグレードすることをお勧めします。



AWSは2020年3月にボトルロケットを発表..。彼女はすぐに、これが最初の「コンテナ用Linux」ではないことを認識し、CoreOS、Rancher OS、およびProjectAtomicをインスピレーションの源として挙げました。開発者は、オペレーティングシステムは「Amazon規模での長期にわたる本番サービスで学んだ教訓と、コンテナの実行方法について過去6年間に得た経験の結果」であると書いています。

極端なミニマリズム

Linuxでは、コンテナーの実行に必要のないものはすべて削除されています。同社によれば、この設計により攻撃面が減少します。



これは、ベースシステムにインストールされるパッケージが少なくなることを意味します。これにより、OSの保守と更新が容易になり、依存関係による問題の可能性が減り、リソースの使用量が減ります。基本的に、ここのすべては別々のコンテナ内で機能し、基本システムは実質的にむき出しです。



また、Amazonはすべてのシェルとインタープリターを削除し、ユーザーがそれらを使用したり、誤って特権をエスカレートしたりするリスクを排除しました。ベースイメージには、ミニマリズムとセキュリティのために、コマンドシェル、SSHサーバー、Pythonなどの解釈された言語がありません。管理者ツールは、デフォルトで無効になっている別のサービスコンテナに移動されました。



システム管理は、APIとオーケストレーションの2つの方法で提供されます。



個々のソフトウェアを更新するパッケージマネージャーの代わりに、Bottlerocketは完全なファイルシステムイメージをダウンロードして再ロードします。ダウンロードが失敗した場合、自動的にロールバックされ、ワー​​クロードの失敗により手動ロールバック（APIを介したコマンド）がトリガーされる可能性があります。TUF（更新フレームワーク）は、代替または「アンマウント」パーティションに画像ベースのアップデートをダウンロードします。 2つのディスクパーティションがシステムに割り当てられ、そのうちの1つにはアクティブなシステムが含まれ、更新は2番目にコピーされます。この場合、ルートパーティションは読み取り専用モードでマウントされ、パーティションはファイルシステムとともにtmpfsRAMにマウントされます。



/etc再起動後、元の状態に戻ります。構成ファイルの直接変更は/etcサポートされていません。設定を保存するには、APIを使用するか、機能を別のコンテナーに移動します。





API更新スキーム

安全性

コンテナは、標準のLinuxカーネルメカニズム（cgroups、namespaces、seccomp）によって作成され、SELinuxは、強制アクセス制御のシステムとして、つまり追加の分離のために「強制」モードで使用されます。



デフォルトでは、コンテナとカーネル間でリソースを共有するためのポリシーが有効になっています。バイナリは、ユーザーまたはプログラムが実行できないようにフラグで保護されています。また、誰かがファイルシステムにアクセスした場合、Bottlerocketは、加えられた変更をチェックおよび追跡するためのツールを提供します。



「検証済みブート」モードは、device-mapper-verity関数（dm-verity）を介して実装されます。）、起動時にルートパーティションの整合性をチェックします。AWSは、dm-verityを「基盤となるシステムソフトウェアの上書きなど、OS上でマルウェアが実行されるのを防ぐための整合性チェックを提供するLinuxカーネルの機能」と説明しています。



システムにはeBPF（Alexey Starovoitovによって開発された拡張BPF ）もあり、これにより、カーネルモジュールを低レベルのシステム操作用のより安全なBPFプログラムに置き換えることができます。









AWSの情報筋によると、BPFは通常のユーザーレベルまたはカーネルレベルのコードとは異なり、Bottlerocketは「管理者権限が本番サーバーに接続できないようにすることでセキュリティをさらに強化するオペレーティングモデルを採用」し、「制御が制限されている大規模な分散システムに適しています。個々のホストの上に "。



管理者コンテナは、システム管理者向けに提供されています。しかし、AWSは、管理者がボトルロケット内で作業する必要があるとは考えていません。「別のボトルロケットインスタンスにログインするという行為は、頻繁でない操作、つまり高度なデバッグとトラブルシューティングを目的としています」と開発者は書いています。

さびた言語

カーネル上のOSツールは、ほとんどがRustで記述されています。その性質上、この言語は、危険なメモリアクセスの可能性を低減し、また、スレッド間の競合状態を解消します。



デフォルトのビルドフラグが適用されている場合--enable-default-pieと--enable-default-ssp実行可能ファイル（のアドレス空間のランダム化可能にするために実行可能ファイルの位置に依存しない、PIE）とスタックオーバーフローに対する保護を。



C / Cへのパケットのため++さらにフラグを含む-Wall、-Werror=format-security、-Wp,-D_FORTIFY_SOURCE=2、-Wp,-D_GLIBCXX_ASSERTIONSおよび-fstack-clash-protection。



RustとC / C ++の他に、一部のパッケージはGo言語で記述されています。

AWSサービスとの統合

同様のコンテナオペレーティングシステムとの違いは、AmazonがBottlerocketをAWSで実行し、他のAWSサービスと統合するように最適化したことです。



最も人気のあるコンテナオーケストレーターはKubernetesであるため、AWSは独自のEnterprise Kubernetes Service（EKS）との統合を実装しています。オーケストレーションツールは、個別のbottlerocket-control-containerで提供されます。これは、デフォルトで有効になっており、APIおよびAWSSSMエージェントを介して管理されます。



過去にこれらのイニシアチブのいくつかが失敗したことを考えると、Bottlerocketが離陸するかどうかを確認するのは興味深いでしょう。たとえば、VmwareのPhotonOSは廃業し、RedHatはCoreOSを購入して、この分野のパイオニアと見なされていたプロジェクトを終了しました。



BottlerocketをAWSサービスに統合することで、このシステムは独自の方法で独自のものになります。これが、一部のユーザーがCoreOSやAlpineなどの他のディストリビューションよりもBottlerocketを好む主な理由である可能性があります。このシステムは元々EKSおよびECSで動作するように設計されていましたが、これも必須ではありません。まず、Bottlerocketは独立して構築し、たとえばホスト型ソリューションとして使用できます。次に、EKSおよびECSユーザーは引き続きOSを選択できます。



Bottlerocketのソースコードは、Apache2.0ライセンスの下でGitHubに公開されています。開発者はすでにバグレポートと機能リクエストに対応しています。

---

広告

VDSinaは、毎日の支払いでVDSを提供します。独自のイメージからも含め、任意のオペレーティングシステムをインストールできます。各サーバーは500メガビットのインターネットチャネルに接続されており、DDoS攻撃から無料で保護されています。